بااین‌حال، حتی از دست دادن یک نمونه آسیب‌پذیر از Log4j می‌تواند یک سازمان را در معرض خطر قرار دهد، به همین دلیل است که کشف یکی از مهم‌ترین مراحل در فرآیند اصلاح است. در زیر چهار استراتژی کشف آسیب‌پذیری باقابلیت پیاده‌سازی آسان وجود دارد که می‌توان از آن‌ها برای ارزیابی یک محیط برای پیاده‌سازی‌های آسیب‌پذیر Log4j استفاده کرد.
اسکن کامل آسیب‌پذیری پورت را انجام دهید
ابتدا، سازمان‌ها باید اسکن کامل آسیب‌پذیری پورت را با فعال کردن اثرانگشت سرویس انجام دهند. ابزارهای اسکن مانند Nmap می‌توانند به تیم‌های امنیتی اجازه دهند تا پروتکل‌های مورد سوءاستفاده معمول مانند HTTP و Remote Method Invocation ‪(RMI)‬ را شناسایی کنند. ابزارهای اسکن آسیب‌پذیری همچنین می‌توانند سرویس‌های RMI را که توسط برنامه‌های جاوا میزبانی می‌شوند شناسایی کنند. گروه‌ها همچنین می‌توانند اسکن آسیب‌پذیری لایه سرور را با ابزارهایی مانند Nessus یا Nexpose انجام دهند تا نمونه‌های آسیب‌پذیر Log4j را با تزریق به نقاط تزریق بالای HTTP Header شناسایی کنند. اگر این فرآیند از یک مکان واحد اجرا شود، باید کمترین تلاش را ببرد.‬
برای رفتن یک گام بیشتر، کارشناسان می‌توانند از خروجی Nessus یا Nmap برای پیکربندی ابزاری مانند EyeWitness، WitnessMe یا Aquatone برای انجام خراش دادن صفحه وب‌سایت‌های موجود استفاده کنند. این به ایجاد کاتالوگی از وب‌سایت‌ها برای بررسی کمک می‌کند که سپس می‌توان از آن برای شناسایی برنامه‌های کاربردی وب استفاده کرد که ممکن است برای آزمایش دقیق‌تر مورد هدف قرار گیرند. هنگامی‌که لیست برنامه‌های وب تولید شد، تیم‌ها می‌توانند از ابزاری مانند Burp Suite Pro با افزونه Log4Shell Scanner برای شناسایی نمونه‌های آسیب‌پذیر Log4j استفاده کنند. این کار با تزریق رشته‌های قابل بهره‌برداری برای شروع تماس‌های کاربر به تمام عناصر پویا برنامه وب که می‌تواند نقشه‌برداری کند، انجام می‌شود.
فایل‌های منحصربه‌فرد Log4j را هدف قرار دهید
Log4j منبع باز است، به این معنی که استفاده از آن در برنامه‌ها به دلیل رایگان بودن، کاربردی بودن، توزیع آسان و قابل‌تغییر بودن آن بسیار گسترده است. بااین‌حال، ماهیت منبع باز Log4j می‌تواند در مرحله کشف نیز مفید باشد. تیم‌های امنیتی می‌توانند به‌راحتی Log4j را دانلود کرده و فهرستی از تمام فایل‌هایی که توسط بسته استفاده می‌شوند ایجاد کنند و ازآنجا فایل‌هایی را که منحصر به Log4j هستند هدف قرار دهند.
هنگامی‌که این موجودی توسعه یافت، تیم‌های امنیتی می‌توانند آن را با تشخیص و پاسخ نقطه پایانی (EDR)، نظارت بر یکپارچگی فایل (FIM) و ابزارهای مدیریت پیکربندی که از قبل در محیط امنیتی یک سازمان وجود دارد، برای شناسایی نمونه‌های آسیب‌پذیر Log4j استفاده کنند. علاوه بر این، در تئوری، همان موجودی می‌تواند به‌عنوان فرهنگ لغت در برابر سرورهای وب استفاده شود. با استفاده از این استراتژی، تیم‌های امنیتی می‌توانند از ابزارهای خودکارسازی موجود استفاده مؤثری کرده و در زمان و منابع صرفه‌جویی کنند که سپس می‌تواند برای کار واقعی اصلاح استفاده شود.
با تیم‌های توسعه خود همکاری کنید
امنیت وظیفه همه است. برای اطمینان از امنیت واقعی یک سازمان، تیم‌های امنیتی و توسعه‌دهنده باید باهم همکاری کنند. بینش جامعی برای کاهش موفقیت‌آمیز خطرات Log4j موردنیاز است. این فرآیند مستلزم همکاری عمیق با واحدهای تجاری و تیم‌های توسعه است تا اطمینان حاصل شود که تمام نمونه‌های Log4j واقعاً کشف‌شده‌اند. در برخی موارد، زمانی که «جعبه‌های سیاه» در شبکه‌های سازمانی وجود دارد که مالک مشخصی ندارند، این می‌تواند چالش‌برانگیز باشد.تیم‌های امنیتی ابتدا باید با تیم‌های توسعه کار کنند تا فهرستی از همه برنامه‌های توسعه‌یافته داخلی و صاحبان برنامه‌های مرتبط ایجاد کنند.
سپس آن‌ها باید با صاحبان برنامه ارتباط برقرار کنند و تعیین کنند که آیا یک برنامه معین از Log4j استفاده می‌کند یا خیر. برای کسانی که این کار را انجام می‌دهند، تیم امنیتی و صاحبان برنامه باید باهم کار کنند تا وصله‌های موردنیاز را اعمال کنند. درحالی‌که این استراتژی به رویکرد عملی‌تری نیاز دارد، اما مزایای قابل‌توجهی را ازنظر اصلاح برخی از پیاده‌سازی‌های Log4j که یافتن آن‌ها دشوارتر است، ارائه می‌دهد.
مدیریت ریسک فروشنده خود را تقویت کنید
ارائه‌دهندگان نرم‌افزار شخص ثالث یکی از منابع اصلی خطر امنیت سایبری برای سازمان‌ها را در دهه گذشته ثابت کرده‌اند. Log4j نیز از این قاعده مستثنا نیست. تیم‌های امنیتی باید با فروشندگان ارتباط برقرار کنند تا ارتباط Log4j با برنامه‌های کاربردی خارجی را تعیین کنند، تعیین کنند که کدام فروشنده‌ها و سرویس‌ها از Log4j استفاده می‌کنند، آیا آن سازمان‌ها اقدامات لازم را برای کشف و اصلاح انجام داده‌اند و آیا شبکه‌های خود را برای بهره‌برداری یا دستورالعمل‌های موفقیت‌آمیز آزمایش کرده‌اند.ارتباط با فروشندگان در این زمینه باید در اسرع وقت آغاز شود تا تیم‌ها بدانند که چه خدماتی ممکن است نیاز به جداسازی یا توقف استفاده از آن‌ها داشته باشند و همچنین بدانند که چگونه ممکن است بر عملکرد یا خدمات سازمانشان تأثیر بگذارد.
کشف Log4j اولین مانع است
ماهیت همه‌جا حاضر Log4j چالشی واضح برای کارشناسان امنیت سایبری ایجاد می‌کند و با توجه به اینکه بسیاری از تیم‌های امنیتی در حال حاضر با کمبود کارکنان مواجه هستند، یافتن تمام آسیب‌پذیری‌های احتمالی مانند یک چالش غیرقابل‌حل به نظر می‌رسد. ایجاد یک استراتژی کشف اولین گام برای غلبه بر چالش است. با یک استراتژی مستقیم و ارتباطات و همکاری واضح، تیم‌ها می‌توانند و به حفاظت از سازمان‌هایی که به آن‌ها خدمت می‌کنند ادامه دهند.
منبع: cyberpolice.ir